Setting(extension): 익스텐션 쪽 API 세팅 및 client랑 데이터 연결 작업

[jllee000]

📌 Related Issues

관련된 Issue를 태그해주세요.

• close [Setting] 익스텐션 쪽 API 요청 #92

✅ 체크 리스트

• PR 제목의 형식을 잘 작성했나요? e.g. Feat(client): PR 템플릿 작성
• 빌드가 성공했나요? (pnpm build)

📄 Tasks

1. 익스텐션 API 세팅
2. client폴더랑 토큰 데이터 교류 로직 작업 (window.postMessage 활용)
   반드시, 토큰 갱신 될 때마다 해당 sendToken() 함수 활용해주세요!! 꼭!
3. API 연결 확인

⭐ PR Point (To Reviewer)

우선, client/shared/utils 쪽에다가 토큰을 익스텐션으로 넘기는 타겟팅을 *로 해두었습니다
왜냐면 각자 로컬에서 작업하는 도메인이 다를 경우를ㄹ 대비하여,,
이후 배포하여 정식 링크가 연결되면 타겟팅 구체화시켜두겠습니당

📷 Screenshot

Summary by CodeRabbit

Summary by CodeRabbit

• 신규 기능

  • 클라이언트에서 JWT 토큰을 확장 프로그램으로 전송하는 기능이 추가되었습니다.
  • 크롬 확장 프로그램이 모든 URL에서 동작하도록 권한 및 접근 범위가 확장되었습니다.
  • 확장 프로그램 설치 시 사용자의 이메일 정보를 활용하여 새로운 탭이 자동으로 열립니다.

• 버그 수정

  • 빌드 설정에서 잘못된 파일 확장자를 수정하여 확장 프로그램의 백그라운드 스크립트가 정상적으로 동작하도록 개선하였습니다.

• 리팩토링

  • 클라이언트 대시보드 컴포넌트에서 불필요한 상태 변수를 제거하였습니다.
  • 확장 프로그램에서 토큰 관리 방식을 비동기 처리로 개선하였습니다.

• 기타

  • 일부 사이드 이펙트 코드와 불필요한 props를 비활성화 또는 제거하였습니다.
  • 확장 프로그램의 콘텐츠 스크립트가 메시지 이벤트를 수신하여 토큰을 백그라운드 스크립트로 전달하도록 변경되었습니다.

[coderabbitai]

"""

Walkthrough

이 변경 사항은 익스텐션과 클라이언트 간의 JWT 토큰 연동을 위해 메시지 전달 및 저장 로직을 추가하고, 익스텐션의 API 요청에서 크롬 스토리지 기반 토큰 활용을 적용합니다. 또한, 익스텐션의 권한 범위와 매칭 URL을 전체 사이트로 확장하며, 불필요한 코드와 상태를 정리합니다.

Changes

파일/경로 요약	변경 내용 요약
apps/client/src/pages/dashboard/dashboard.tsx, apps/client/src/shared/utils/sendToken.ts	Dashboard 컴포넌트에서 불필요한 token 상태 제거, onSigninSuccess 유틸 함수 도입 및 클릭 시 토큰 전달 로직 추가, sendTokenToExtension 함수 및 onSigninSuccess 함수 신설
apps/extension/public/manifest.json	익스텐션 권한(permissions) 및 host_permissions, content_scripts matches를 <all_urls>로 확장
apps/extension/src/api/axiosInstance.ts	크롬 스토리지에서 토큰 비동기 획득(getChromeToken) 및 axios 요청 인터셉터에서 활용, fetchToken으로 fallback 처리
apps/extension/src/background.ts	메시지(type: 'SET_TOKEN') 수신 시 토큰 저장, 설치 시 유저 이메일 기반 탭 오픈, 프로필 이메일 로그 추가 (신규 파일)
apps/extension/src/content.ts	window message 이벤트 리스너로 변경, SET_TOKEN 메시지 수신 시 background로 전달
apps/extension/src/components/modalPop/ModalPop.tsx	회원가입 및 토큰 저장 useEffect 전체 제거
apps/extension/vite.config.ts	background 엔트리 파일 확장자 .Js → .ts로 수정

Sequence Diagram(s)

sequenceDiagram
    participant Client as Client Web App
    participant Window as Window
    participant Content as Extension Content Script
    participant Background as Extension Background Script
    participant ChromeStorage as Chrome Storage
    participant API as API Server

    Client->>Window: onSigninSuccess(token)
    Window->>Content: window.postMessage({ type: 'SET_TOKEN', token })
    Content->>Background: chrome.runtime.sendMessage({ type: 'SET_TOKEN', token })
    Background->>ChromeStorage: set({ jwtToken: token })
    Note over Background: Token 저장 완료

    API->>Background: (API 요청)
    Background->>ChromeStorage: get('jwtToken')
    ChromeStorage-->>Background: token
    Background->>API: Authorization: Bearer token

Loading

Assessment against linked issues

Objective	Addressed	Explanation
익스텐션 API 연결 확인 및 세팅 (#92)	✅
chrome.messaging 활용 (#92)	✅

Possibly related PRs

• [Feat] 온보딩 FCM 연동 pinback-client#88: Dashboard 컴포넌트 내 토큰 처리 및 API 연동 로직을 구현한 PR로, 본 PR과 토큰 관리 및 연동 방식에서 밀접한 관련이 있습니다.

Suggested reviewers

• karnelll
• constantly-dev

Poem

🐇
토큰이 창을 건너 뛰네,
익스텐션 귀에 속삭이네.
메시지 타고 저장소로,
API도 신나게 출발!
브라우저 세상 어디든,
토큰과 함께 달려가요.
깡총!
"""

---

📜 Recent review details

Configuration used: .coderabbit.yaml
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 13f3a9c and 1aea12f.

📒 Files selected for processing (3)

• apps/extension/src/api/axiosInstance.ts (1 hunks)
• apps/extension/src/components/modalPop/ModalPop.tsx (0 hunks)
• apps/extension/src/content.ts (1 hunks)

💤 Files with no reviewable changes (1)

• apps/extension/src/components/modalPop/ModalPop.tsx

🚧 Files skipped from review as they are similar to previous changes (2)

• apps/extension/src/content.ts
• apps/extension/src/api/axiosInstance.ts

✨ Finishing Touches

• 📝 Generate Docstrings

---

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Explain this complex logic.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai explain this code block.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and explain its main purpose.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai generate docstrings to generate docstrings for this PR.
• @coderabbitai generate sequence diagram to generate a sequence diagram of the changes in this PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 5

🧹 Nitpick comments (2)

apps/extension/src/api/axiosInstance.ts (1)

21-28: Chrome 스토리지 접근 로직이 올바르게 구현되었습니다.

Chrome 스토리지에서 토큰을 비동기적으로 가져오는 로직이 적절하게 구현되어 있습니다. Promise 패턴을 사용하여 콜백 기반 Chrome API를 깔끔하게 처리했습니다.

프로덕션 코드에서 디버깅용 console.log를 제거하는 것을 고려해보세요:

 const getChromeToken = async (): Promise<string | null> => {
   return new Promise((resolve) => {
     chrome.storage.local.get(['jwtToken'], (result) => {
       resolve(result.jwtToken ?? null);
-      console.log(result);
     });
   });
 };

apps/extension/public/manifest.json (1)

25-25: 콘텐츠 스크립트 매칭 범위 확장이 기능 요구사항과 일치합니다.

콘텐츠 스크립트가 모든 URL에서 실행되도록 변경된 것이 토큰 메시지 수신 기능에 필요한 것으로 보입니다.

하지만 성능과 보안을 고려하여 실제 필요한 도메인으로 제한하는 것을 고려해보세요:

-      "matches": ["<all_urls>"],
+      "matches": ["https://your-app-domain.com/*", "http://localhost:*"],

📜 Review details

Configuration used: .coderabbit.yaml
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 1926145 and ad722c7.

⛔ Files ignored due to path filters (1)

• pnpm-lock.yaml is excluded by !**/pnpm-lock.yaml

📒 Files selected for processing (8)

• apps/client/package.json (1 hunks)
• apps/client/src/pages/dashboard/dashboard.tsx (2 hunks)
• apps/extension/public/manifest.json (2 hunks)
• apps/extension/src/api/axiosInstance.ts (1 hunks)
• apps/extension/src/background.ts (1 hunks)
• apps/extension/src/components/modalPop/ModalPop.tsx (1 hunks)
• apps/extension/src/content.ts (1 hunks)
• apps/extension/vite.config.ts (1 hunks)

🧰 Additional context used

🧠 Learnings (2)

apps/extension/src/components/modalPop/ModalPop.tsx (1)

Learnt from: constantly-dev
PR: Pinback-Team/pinback-client#80
File: apps/client/src/shared/components/ui/modalPop/ModalPop.tsx:36-41
Timestamp: 2025-07-15T20:00:13.720Z
Learning: In apps/client/src/shared/components/ui/modalPop/ModalPop.tsx, the InfoBox component uses hardcoded values for title, location, and icon URL as temporary test data. These should be replaced with dynamic data from props when implementing actual functionality and should be marked with TODO comments for future changes.

apps/client/src/pages/dashboard/dashboard.tsx (2)

Learnt from: constantly-dev
PR: Pinback-Team/pinback-client#30
File: apps/extension/src/App.tsx:10-21
Timestamp: 2025-07-08T11:47:10.642Z
Learning: In apps/extension/src/App.tsx, the InfoBox component currently uses a hardcoded external URL for the icon prop as a temporary static placeholder. The plan is to replace this with dynamic favicon extraction from bookmarked websites in future iterations.

Learnt from: constantly-dev
PR: Pinback-Team/pinback-client#80
File: apps/client/src/shared/components/ui/modalPop/ModalPop.tsx:36-41
Timestamp: 2025-07-15T20:00:13.720Z
Learning: In apps/client/src/shared/components/ui/modalPop/ModalPop.tsx, the InfoBox component uses hardcoded values for title, location, and icon URL as temporary test data. These should be replaced with dynamic data from props when implementing actual functionality and should be marked with TODO comments for future changes.

🔇 Additional comments (6)

apps/extension/vite.config.ts (1)

30-30: 파일 확장자 수정이 올바릅니다.

백그라운드 스크립트의 파일 확장자를 .Js에서 .ts로 수정한 것이 정확합니다. 이는 TypeScript 파일을 올바르게 빌드하기 위한 필수 수정사항입니다.

apps/client/src/pages/dashboard/dashboard.tsx (2)

41-49: 토큰 전송 로직이 올바르게 구현되었습니다.

window.postMessage를 사용하여 익스텐션으로 토큰을 전송하는 로직이 적절하게 구현되어 있습니다. 타입과 토큰 데이터가 명확하게 구조화되어 있고, '*' 타겟 오리진 사용도 익스텐션 통신에 적합합니다.

---

51-54: 토큰 저장 및 전송 로직이 적절합니다.

localStorage에 토큰을 저장한 후 익스텐션으로 전송하는 순서가 적절하며, PR 목표에 부합하는 구현입니다.

apps/extension/src/api/axiosInstance.ts (1)

34-40: 토큰 검증 로직이 개선되었습니다.

Chrome 스토리지에서 토큰을 비동기적으로 가져오고, 'undefined' 문자열까지 검증하는 로직이 견고하게 구현되어 있습니다. 이는 다양한 토큰 상태를 적절히 처리합니다.

apps/extension/public/manifest.json (2)

6-6: 권한 추가가 기능 요구사항에 적합합니다.

"tabs"와 "scripting" 권한 추가가 익스텐션의 토큰 관리 및 콘텐츠 스크립트 기능에 필요한 것으로 보입니다.

---

7-7: 광범위한 호스트 권한 사용에 주의가 필요합니다.

<all_urls> 권한은 모든 웹사이트에 대한 액세스를 허용하는 강력한 권한입니다. 이는 사용자에게 추가적인 권한 승인을 요구하며, 보안 위험을 증가시킬 수 있습니다.

실제로 모든 URL에 대한 액세스가 필요한지 확인하고, 가능하다면 더 구체적인 도메인 패턴으로 제한하는 것을 고려해보세요:

-  "host_permissions": ["<all_urls>"],
+  "host_permissions": ["https://your-app-domain.com/*", "http://localhost:*"],

[coderabbitai]

💡 Verification agent

🧩 Analysis chain

Chrome API 타입 정의 추가를 확인해주세요.

Chrome API 타입 정의를 위한 @types/chrome 패키지 추가가 적절합니다. 하지만 사용된 버전이 최신이고 보안 이슈가 없는지 확인이 필요합니다.

다음 스크립트로 최신 버전을 확인해주세요:

---

🏁 Script executed:

#!/bin/bash
# Description: Check latest version of @types/chrome package

# Check latest version on npm
curl -s https://registry.npmjs.org/@types/chrome/latest | jq '.version'

# Check if version 0.0.125 exists
curl -s https://registry.npmjs.org/@types/chrome/0.0.125 | jq '.version // "Version not found"'

Length of output: 187

---

@types/chrome 최신 버전으로 업데이트 권장

apps/client/package.json에 추가된 @types/chrome 버전 확인 결과:

• 현재 지정된 버전: ^0.0.125 (존재함)
• npm 최신 버전: 0.1.0

보안 이슈는 보고되지 않았으나, 최신 정의 파일과 개선된 타입을 받기 위해 아래 파일을 수정해 주세요.

• apps/client/package.json (라인 35)

-   "@types/chrome": "^0.0.125",
+   "@types/chrome": "^0.1.0",

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	"@types/chrome": "^0.0.125",
	"@types/chrome": "^0.1.0",

🤖 Prompt for AI Agents

In apps/client/package.json at line 35, update the version of "@types/chrome"
from "^0.0.125" to the latest version "0.1.0" to ensure usage of the most recent
type definitions and improvements. Modify the version string accordingly in the
dependencies section.

[coderabbitai]

🛠️ Refactor suggestion

보안 및 에러 처리 개선이 필요합니다.

백그라운드 스크립트의 기본 로직은 올바르지만 몇 가지 개선사항이 있습니다:

1. 토큰 값을 콘솔에 로그하는 것은 보안 위험이 있습니다
2. 스토리지 작업에 대한 에러 처리가 없습니다
3. 최신 async/await 패턴을 사용하는 것이 좋습니다

다음과 같이 개선해보세요:

-chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
-  if (message.type === 'SET_TOKEN') {
-    chrome.storage.local.set({ jwtToken: message.token }, () => {
-      console.log('Token saved!', message.token);
-    });
-  }
-});
+chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
+  if (message.type === 'SET_TOKEN') {
+    chrome.storage.local.set({ jwtToken: message.token }, () => {
+      if (chrome.runtime.lastError) {
+        console.error('토큰 저장 실패:', chrome.runtime.lastError);
+      } else {
+        console.log('토큰이 성공적으로 저장되었습니다');
+      }
+    });
+  }
+});

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
	if (message.type === 'SET_TOKEN') {
	chrome.storage.local.set({ jwtToken: message.token }, () => {
	console.log('Token saved!', message.token);
	});
	}
	});
	chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
	if (message.type === 'SET_TOKEN') {
	chrome.storage.local.set({ jwtToken: message.token }, () => {
	if (chrome.runtime.lastError) {
	console.error('토큰 저장 실패:', chrome.runtime.lastError);
	} else {
	console.log('토큰이 성공적으로 저장되었습니다');
	}
	});
	}
	});

🤖 Prompt for AI Agents

In apps/extension/src/background.ts lines 1 to 7, avoid logging the token to the
console to prevent security risks, add error handling for
chrome.storage.local.set by checking for runtime.lastError, and refactor the
listener callback to use async/await with Promises for cleaner asynchronous
code. Implement these changes to improve security and reliability.

[coderabbitai]

🛠️ Refactor suggestion

하드코딩된 토큰을 프로덕션 코드에서 제거해야 합니다.

루트 div의 onClick 핸들러에서 하드코딩된 토큰 '11'을 사용하고 있습니다. 이는 테스트 목적으로 보이지만, 프로덕션 환경에서는 실제 로그인 플로우로 대체되어야 합니다.

-    <div
-      className="bg-background flex min-h-screen flex-col items-center"
-      onClick={() => onSigninSuccess('11')}
-    >
+    <div className="bg-background flex min-h-screen flex-col items-center">

실제 로그인 성공 시 onSigninSuccess 함수를 호출하도록 구현해야 합니다.

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	<div
	className="bg-background flex min-h-screen flex-col items-center"
	onClick={() => onSigninSuccess('11')}
	>
	<div className="bg-background flex min-h-screen flex-col items-center">

🤖 Prompt for AI Agents

In apps/client/src/pages/dashboard/dashboard.tsx around lines 68 to 71, the
onClick handler on the root div is calling onSigninSuccess with a hardcoded
token '11', which should be removed from production code. Replace this hardcoded
token by integrating the actual login flow so that onSigninSuccess is called
only upon a real successful login event with a valid token or user data.

[coderabbitai]

Actionable comments posted: 3

♻️ Duplicate comments (1)

apps/extension/src/background.ts (1)

1-7: 보안 및 에러 처리 개선이 필요합니다.

이전 리뷰에서 지적된 보안 및 에러 처리 문제가 여전히 해결되지 않았습니다:

1. 토큰 값을 콘솔에 로그하는 것은 보안 위험
2. 스토리지 작업에 대한 에러 처리 부족
3. 최신 async/await 패턴 사용 권장

📜 Review details

Configuration used: .coderabbit.yaml
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between ad722c7 and 380fcbe.

⛔ Files ignored due to path filters (1)

• pnpm-lock.yaml is excluded by !**/pnpm-lock.yaml

📒 Files selected for processing (4)

• apps/client/src/pages/dashboard/dashboard.tsx (2 hunks)
• apps/client/src/shared/utils/sendToken.ts (1 hunks)
• apps/extension/public/manifest.json (2 hunks)
• apps/extension/src/background.ts (1 hunks)

🚧 Files skipped from review as they are similar to previous changes (2)

• apps/extension/public/manifest.json
• apps/client/src/pages/dashboard/dashboard.tsx

[coderabbitai]

🛠️ Refactor suggestion

에러 처리 추가를 고려하세요.

localStorage 작업과 토큰 전송 과정에서 발생할 수 있는 에러에 대한 처리가 없습니다.

다음과 같이 에러 처리를 추가하는 것을 권장합니다:

export const onSigninSuccess = (token: string) => {
-  localStorage.setItem('jwtToken', token);
-  sendTokenToExtension(token);
+  try {
+    localStorage.setItem('jwtToken', token);
+    sendTokenToExtension(token);
+  } catch (error) {
+    console.error('토큰 저장 중 오류 발생:', error);
+  }
};

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	export const onSigninSuccess = (token: string) => {
	localStorage.setItem('jwtToken', token);
	sendTokenToExtension(token);
	};
	export const onSigninSuccess = (token: string) => {
	try {
	localStorage.setItem('jwtToken', token);
	sendTokenToExtension(token);
	} catch (error) {
	console.error('토큰 저장 중 오류 발생:', error);
	}
	};

🤖 Prompt for AI Agents

In apps/client/src/shared/utils/sendToken.ts around lines 11 to 14, the
onSigninSuccess function lacks error handling for localStorage.setItem and
sendTokenToExtension calls. Wrap these operations in a try-catch block to catch
any exceptions, and handle or log the errors appropriately to prevent unhandled
exceptions during token storage or transmission.

[coderabbitai]

⚠️ Potential issue

보안 위험: 타겟 origin을 구체적으로 지정하세요.

window.postMessage에서 '*'를 타겟 origin으로 사용하면 모든 창이 토큰 메시지를 받을 수 있어 보안 취약점이 될 수 있습니다.

다음과 같이 수정하여 보안을 강화하세요:

-  window.postMessage(
-    {
-      type: 'SET_TOKEN',
-      token,
-    },
-    '*'
-  );
+  window.postMessage(
+    {
+      type: 'SET_TOKEN',
+      token,
+    },
+    window.location.origin
+  );

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	const sendTokenToExtension = (token: string) => {
	window.postMessage(
	{
	type: 'SET_TOKEN',
	token,
	},
	'*'
	);
	};
	const sendTokenToExtension = (token: string) => {
	window.postMessage(
	{
	type: 'SET_TOKEN',
	token,
	},
	window.location.origin
	);
	};

🤖 Prompt for AI Agents

In apps/client/src/shared/utils/sendToken.ts lines 1 to 9, the
window.postMessage call uses '*' as the target origin, which is a security risk
because it allows any window to receive the token message. To fix this, replace
'*' with the specific origin URL of the trusted extension or target window to
restrict message delivery only to that origin, thereby enhancing security.

[constantly-dev]

해당 target 범위를 줄일 수 있으면 줄이는 게 좋을 것 같은데 어떻게 생각하시나요?? 혹시 가능할까요?

[coderabbitai]

@constantly-dev 맞습니다! 보안 범위를 줄이는 것이 중요합니다.

이 Chrome 확장 프로그램 구조에서 window.location.origin이 실제로 가장 제한적이고 안전한 옵션입니다:

현재 메시지 흐름:

1. 클라이언트 웹페이지 → content script (같은 origin)
2. content script → background script (extension 내부)

target origin 옵션 분석:

• '*' ❌ 모든 창이 토큰을 받을 수 있음 (보안 위험)
• window.location.origin ✅ 현재 페이지의 origin만 허용
• 더 구체적인 origin ❓ 실제로는 불가능/불필요

왜 window.location.origin이 최적인지:

• content script는 웹페이지와 동일한 origin에서 실행됩니다
• 메시지가 같은 origin 내에서 전송되므로 이보다 더 제한적일 수 없습니다
• chrome-extension:// URL은 이 컨텍스트에서 작동하지 않습니다

따라서 제가 제안한 window.location.origin 사용이 이 구조에서 가능한 가장 안전하고 제한적인 접근 방식입니다.

window.postMessage(
  {
    type: 'SET_TOKEN',
    token,
  },
  window.location.origin  // 최대한 제한적이면서 안전한 설정
);

[jllee000]

우선, client/shared/utils 쪽에다가 토큰을 익스텐션으로 넘기는 타겟팅을 *로 해두었습니다
왜냐면 각자 로컬에서 작업하는 도메인이 다를 경우를ㄹ 대비하여,,
이후 배포하여 정식 링크가 연결되면 타겟팅 구체화시켜두겠습니당

[coderabbitai]

Seems like the humans are having a chat. I'll hop back into my burrow for now. If you need me again, just tag @coderabbitai in a new comment, and I'll come hopping out!

[coderabbitai]

⚠️ Potential issue

로직 구조와 타이밍 문제를 수정하세요.

다음과 같은 문제점들이 있습니다:

1. setTimeout에 지연 시간이 지정되지 않아 즉시 실행됩니다
2. onInstalled 리스너가 getProfileUserInfo 콜백 내부에 위치하여 매번 등록됩니다
3. 사용자 정보 없이도 설치 이벤트는 처리되어야 합니다

다음과 같이 구조를 개선하세요:

+// 익스텐션 설치 이벤트 리스너 (최상위에 위치)
+chrome.runtime.onInstalled.addListener((details) => {
+  if (details.reason === 'install') {
+    chrome.identity.getProfileUserInfo(function (info) {
+      if (info.email) {
+        chrome.tabs.create({
+          url: `https://www.naver.com/${info.email}`,
+        });
+      }
+    });
+  }
+});
+
-chrome.identity.getProfileUserInfo(function (info) {
-  setTimeout(() => {
-    console.log('google email:', info.email);
-    chrome.runtime.onInstalled.addListener((details) => {
-      if (details.reason === 'install') {
-        chrome.tabs.create({
-          url: `https://www.naver.com/${info.email}`,
-        });
-      }
-    });
-  });
-});
+// 사용자 정보 로깅 (필요한 경우)
+chrome.identity.getProfileUserInfo(function (info) {
+  console.log('google email:', info.email);
+});

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	chrome.identity.getProfileUserInfo(function (info) {
	setTimeout(() => {
	console.log('google email:', info.email);
	chrome.runtime.onInstalled.addListener((details) => {
	if (details.reason === 'install') {
	chrome.tabs.create({
	url: `https://www.naver.com/${info.email}`,
	});
	}
	});
	});
	});
	// 익스텐션 설치 이벤트 리스너 (최상위에 위치)
	chrome.runtime.onInstalled.addListener((details) => {
	if (details.reason === 'install') {
	chrome.identity.getProfileUserInfo(function (info) {
	if (info.email) {
	chrome.tabs.create({
	url: `https://www.naver.com/${info.email}`,
	});
	}
	});
	}
	});
	// 사용자 정보 로깅 (필요한 경우)
	chrome.identity.getProfileUserInfo(function (info) {
	console.log('google email:', info.email);
	});

🤖 Prompt for AI Agents

In apps/extension/src/background.ts lines 9 to 20, the onInstalled listener is
incorrectly placed inside the getProfileUserInfo callback and setTimeout is used
without a delay, causing multiple listener registrations and timing issues. To
fix this, move the chrome.runtime.onInstalled.addListener outside of the
getProfileUserInfo callback so it registers only once on extension load. Inside
the onInstalled handler, call getProfileUserInfo to retrieve user info
asynchronously and then open the tab with the URL including the email if the
install reason matches. Remove the unnecessary setTimeout call entirely.

[coderabbitai]

Actionable comments posted: 1

♻️ Duplicate comments (1)

apps/extension/src/background.ts (1)

1-7: 보안 및 에러 처리 개선이 필요합니다.

토큰을 콘솔에 로그하는 것은 보안 위험이 있으며, 스토리지 작업에 대한 에러 처리가 없습니다.

다음과 같이 개선하세요:

-chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
-  if (message.type === 'SET_TOKEN') {
-    chrome.storage.local.set({ jwtToken: message.token }, () => {
-      console.log('Token saved!', message.token);
-    });
-  }
-});
+chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
+  if (message.type === 'SET_TOKEN') {
+    chrome.storage.local.set({ jwtToken: message.token }, () => {
+      if (chrome.runtime.lastError) {
+        console.error('토큰 저장 실패:', chrome.runtime.lastError);
+      } else {
+        console.log('토큰이 성공적으로 저장되었습니다');
+      }
+    });
+  }
+});

🧹 Nitpick comments (1)

apps/extension/src/background.ts (1)

15-15: 환경별 URL 구성을 고려하세요.

하드코딩된 localhost URL은 프로덕션 환경에서 문제가 될 수 있습니다.

환경 변수를 사용하여 URL을 구성하는 것을 고려하세요:

-          url: `http://localhost:5180/onboarding?email=${encodeURIComponent(info.email)}`,
+          url: `${process.env.CLIENT_URL || 'http://localhost:5180'}/onboarding?email=${encodeURIComponent(info.email)}`,

또는 매니페스트에서 호스트 권한을 확인하여 동적으로 URL을 구성할 수 있습니다.

📜 Review details

Configuration used: .coderabbit.yaml
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 380fcbe and 13f3a9c.

⛔ Files ignored due to path filters (1)

• pnpm-lock.yaml is excluded by !**/pnpm-lock.yaml

📒 Files selected for processing (1)

• apps/extension/src/background.ts (1 hunks)

[coderabbitai]

🛠️ Refactor suggestion

에러 처리 및 URL 구성을 개선하세요.

코드 구조는 올바르지만 사용자 정보 조회 실패와 이메일 검증에 대한 처리가 없습니다.

다음과 같이 개선하세요:

 chrome.runtime.onInstalled.addListener((details) => {
   if (details.reason === 'install') {
     chrome.identity.getProfileUserInfo(function (info) {
-      console.log('google email:', info.email);
-
-      setTimeout(() => {
-        chrome.tabs.create({
-          url: `http://localhost:5180/onboarding?email=${info.email}`,
-        });
-      }, 1000);
+      if (chrome.runtime.lastError) {
+        console.error('사용자 정보 조회 실패:', chrome.runtime.lastError);
+        return;
+      }
+      
+      console.log('google email:', info.email);
+      
+      if (info.email) {
+        setTimeout(() => {
+          chrome.tabs.create({
+            url: `http://localhost:5180/onboarding?email=${encodeURIComponent(info.email)}`,
+          });
+        }, 1000);
+      }
     });
   }
 });

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	chrome.runtime.onInstalled.addListener((details) => {
	if (details.reason === 'install') {
	chrome.identity.getProfileUserInfo(function (info) {
	console.log('google email:', info.email);
	setTimeout(() => {
	chrome.tabs.create({
	url: `http://localhost:5180/onboarding?email=${info.email}`,
	});
	}, 1000);
	});
	}
	});
	chrome.runtime.onInstalled.addListener((details) => {
	if (details.reason === 'install') {
	chrome.identity.getProfileUserInfo(function (info) {
	if (chrome.runtime.lastError) {
	console.error('사용자 정보 조회 실패:', chrome.runtime.lastError);
	return;
	}
	console.log('google email:', info.email);
	if (info.email) {
	setTimeout(() => {
	chrome.tabs.create({
	url: `http://localhost:5180/onboarding?email=${encodeURIComponent(info.email)}`,
	});
	}, 1000);
	}
	});
	}
	});

🤖 Prompt for AI Agents

In apps/extension/src/background.ts around lines 8 to 20, the code lacks error
handling for the user info retrieval and does not validate the email before
using it in the URL. Modify the chrome.identity.getProfileUserInfo callback to
check if the info object and email exist and are valid; if not, handle the error
appropriately (e.g., log an error or skip tab creation). Also, ensure the email
is URL-encoded before appending it to the onboarding URL to prevent injection or
formatting issues.

[constantly-dev]

확장이랑 일반 client 연결하는 게 확실히 쉽지 않네요. 이 두 개 호환성이 긍정적인 느낌이 아니라, 이후에 더 아키텍쳐를 고민해보면 좋을 것 같아요! sendMessage 라는 방식으로 사용할 수 있는 점도 처음 알았네요! 수고하셨습니다 👍
간단한 코멘트 확인 부탁드려요~

[constantly-dev]

해당 target 범위를 줄일 수 있으면 줄이는 게 좋을 것 같은데 어떻게 생각하시나요?? 혹시 가능할까요?

[constantly-dev]

host_permissions을 이렇게 수정하신 이유가 있는지 궁금합니다!

[jllee000]

북마크 기능의 경우, 모든 사이트 상에서 접근하여 링크나 정보를 가져와야 하는 등의 케이스라서 열어두었습니다! :)

[constantly-dev]

테스트용 콘솔은 제거하기! 👍

[jllee000]

헉쓰바리 지워두겠습니다!

[constantly-dev]

테스트용 콘솔은 지우기!

[jllee000]

제거했습니다!

[constantly-dev]

반영 확인했습니다 굿굿 👍